[GTER] Solicitacao de Informacoes de usuarios por Autoridades Policiais

Jose Navas Junior technosoft at me.com
Fri Sep 18 13:49:07 -03 2020 

O importante é a colaboração entre todos, até porque no fundo o que temos é sempre um delito, e as vezes hediondo.

Eu costumo fazer a ponte entre as “partes” pois já fui técnico em provedor, sócio-proprietário de provedores, e hoje sou Delegado de Polícia Federal, e atuo na área, então eu vejo a dificuldade as vezes que é fazer os lados conversarem em especial fazer alguém leigo (seja Delegado, Juiz, Promotor, Advogado, etc) entender CGNAT, IPv4, portas, etc.

Uma forma de colaboração que implementamos algumas vezes com a devida ordem judicial e em parceria com o provedor usado pelo infrator é um trabalho conjunto com o setor de perícias técnicas (SETECs ou UTECs) que auxiliam na captura e análise dos LOGs dos provedores utilizados para rápida identificação do infrator, sem a necessidade do provedor implementar sistemas de uso forense (caros e de uso residual) que as Polícias já possuem.

Utiliza-se assim o menor tempo possível do provedor sem alterar o dia a dia da operação ou gerar custos de processamento de LOGs, etc.

Muitas questões, infelizmente, so serão totalmente dirimidas com o IPv6 massificado. Até lá, vamos explicando NAT e IPv4 a quem necessário.

Mas como mencionei no e-mail anterior, o embasamento legal da busca de dados cadastrais é anterior até ao Marco Civil … é preciso manter o Departamento Jurídico atento à Lei 12830.


> Em 18 de set de 2020, à(s) 13:35, Elizandro Pacheco [ NextHop Solutions ® ] <elizandro at pachecotecnologia.net> escreveu:
> 
> Ontem mesmo tive um caso, o velho bom e conhecido caso do TV com o NetFlix logado. O delegado civil apresentou seu próprio oficio contendo apenas o ipv4.
> 
> Em uma conversa branda, expliquei pra ele a necessidade da porta de origem, e como ele deveria proceder para obter tal informação, e que somente assim seria possível eu realizar a identificação.
> 
> Expliquei também, que precisaria do ofício para ter um resguardo legal caso o usuário se sinta "violado" e venha querer tirar aquele dinheirinho com um processo contra meu cliente.
> 
> No final das contas, ele tinha o endereço e como um gesto de colaboração, entregamos os dados do assinante no referido endereço.
> 
> O que eu tenho feito na maioria dos casos, ainda que eu não tivesse a obrigação legal de entregar os dados pra ele naquele momento, é ser colaborativo. Afinal de contas, mesmo que seja o delegado local e mesmo que ele não tenha todas as informações, ninguém quer bronca com polícia não é mesmo? Muito menos acobertar crimes simplesmente pelo usuário ser cliente.
> 
> Então, eu geralmente explico essas situações ( e geralmente os delegados são leigos nesse nível técnico ) e assim temos uma colaboração de ambas as partes.
> 
> No caso de ontem, ele se prontificou inclusive a fazer um documento específico sobre os dados que ele tava fornecendo e o que estava solicitando ( mas nesse caso ele tinha o endereço, acho que queria apenas uma confirmação ).
> 
> Então, sendo obrigado ou não, particularmente recomendo sempre colaborar. Afinal de contas, o usuário em questão pode ser realmente um criminoso e não conheço algum caso em que esse tipo de entrega, de fato, tenha dado problema pro provedor.
> 
> Acho que ainda há um longo caminho até podermos simplesmente dizer: - Sem isso ou sem ser um ofício do Juíz, não posso entregar.
> 
> Principalmente, com jurisprudência para a argumentação, para que ao menos, o solicitante não se sinta ofendido ou sinta sua "autoridade" ferida.
> 
> Eu, opto pela colaboração sempre.
> 
> Mas é realmente um ponto que levanta muitas dúvidas em muitos profissionais e provedores, o que não vale mesmo é tentar usar esse tipo de desculpa pra acobertar uma falha interna sua ( Ex: Um provedor querendo utilizar esse tipo de informação simplesmente porque o CGNAT/ACCOUNTING tá mal implementado, ou é inexistente, e ele não quer expor isso ).
> 
> 
> Meus 50 cents,
> 
> Elizandro Pacheco
> NextHop Solutions
> 
> ------ Mensagem original ------
> De: "Fernando Frediani" <fhfrediani at gmail.com>
> Para: "Grupo de Trabalho de Engenharia e Operacao de Redes" <gter at eng.registro.br>
> Enviado(s): 18/09/2020 13:17:07
> Assunto: [GTER] Solicitacao de Informacoes de usuarios por Autoridades Policiais
> 
>> Olá pessoal.
>> 
>> Quero aproveitar a oportunidade para reforçar um assunto que já foi falado
>> aqui anteriormente e que acredito tem havido um aumento dessas solicitações
>> mais recentemente.
>> 
>> Tenho recebido relatos de colegas de ofícios provenientes de Autoridades
>> Policiais (Delegado de Polícia Federal ou Polícia Civil) solicitando a
>> identificação e os dados cadastrais de usuários baseados no endereco IP.
>> Considerando que mesmo que o ofício venha com todos os dados necessários
>> (IPv4 + Porta de Origem ou IPv6), Data, Horário e Timezone existe um outro
>> problema que pode estar passando despercebido por muitas empresas.
>> 
>> Muitos desses ofícios citam o Art. 17-B da Lei 12.683/12 que diz o
>> seguinte: "*A autoridade policial e o Ministério Público terão acesso,
>> exclusivamente, aos dados cadastrais do investigado que informam
>> qualificação pessoal, filiação e endereço, independentemente de autorização
>> judicial, mantidos pela Justiça Eleitoral, pelas empresas telefônicas,
>> pelas instituições financeiras, pelos provedores de internet e pelas
>> administradoras de cartão de crédito.*”
>> 
>> No entanto o § 5º Art. 13 da Lei 12.965/14 (Marco Civil da Internet) que
>> diz: "*Em qualquer hipótese, a disponibilização ao requerente dos registros
>> de que trata este artigo deverá ser precedida de autorização judicial,
>> conforme disposto na Seção IV deste Capítulo.*"
>> 
>> Perceba que no primeiro caso a autoridade policial *não possui ainda a
>> identificação do investigado* e está pedindo 2 coisas: 1) que provedor que
>> quebre o sigilo do usuário baseado no endereço IP e 2) que informe os dados
>> cadastrais.
>> No entanto a Lei de 2012 apenas assegura a Autoridade Policial o acesso aos
>> dados cadastrais (ou seja quando o nome do investigado já é previamente
>> conhecido) sem a necessidade de autorização judicial.
>> 
>> Minha orientação é sempre levar esses casos para conhecido do jurídico da
>> empresa com essas informações citadas acima para que ela, caso tiver o
>> mesmo entendimento, responder a autoridade policia pedido a gentileza de
>> que seja requerido ao juiz a quebra do sigilo do usuário.
>> 
>> Caso isso não seja feito corre-se o risco do investigado que teve os dados
>> informados sem autorização judicial questionar o provedor a respeito.
>> 
>> Fernando Frediani
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
> 
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list